クラウドサービスを活用するにあたり、企業にとって頭を悩ませるのがセキュリティの確保です。複数のサービスを利用すれば、それだけIDとパスワードを管理しなければならず、従業員に任せてしまうと脆弱なパスワードの利用や漏洩する可能性を高めてしまいます。一方従業員にとっても、いちいちパスワードを入力することは非常に負担となり、せっかく作業効率を高めるために導入したクラウドサービスが使い勝手の悪いものになりかねません。

そこで、IDaaSと呼ばれるID管理やシングルサインオン（SSO）などのサービスを活用することで、管理者が一元管理しつつ、ユーザー側も一度のログインですべてのクラウドサービスを利用できるようになり、業務全体の効率を高めます。

今回、簡単なUIで使い勝手がよく、安価に導入できる「GMOトラスト・ログイン」についてGMOグローバルサイン株式会社の中山ゆかさんにお話を伺いました。

中山ゆかさん（以下、中山ゆか）　「GMOインターネットグループはご存じでしょうか」

池澤あやか（以下、池澤）　「もちろん知っています」

中山ゆか　「ありがとうございます。GMOグローバルサイン株式会社はGMOインターネットグループの1つで、2003年に日本ジオトラスト株式会社として設立したあと、2008年に現在の社名となりました。グループの中では、セキュリティ事業を中心にサービスを展開しております。

具体的にはSSL（Secure Sockets Layer）というインターネットの通信を暗号化して情報を守る規格があるのですが、それを利用するためには、サイトの運営先がきちんと審査され『SSLサーバ証明書』の発行が必要になります。その証明書を発行する認証局の事業を主に進めてきましたが、新たな新規事業として『GMOトラスト・ログイン』というIDaaS（identity as a service：アイダース）と呼ばれるID/パスワード管理、シングルサインオン（SSO）、アクセス制御などをクラウド経由で提供するサービスを2016年から展開（当初は『IDアクセス管理クラウド SKUID』）しております」

池澤　「最近は、さまざまなクラウドサービスを利用するので、企業にとってIDaaSの導入は必須ですよね」

中山ゆか　「エンジニアの方なのでお分かりかと思いますが、SAML（Security Assertion Markup Language）認証とフォームベース認証、Basic認証という3種類の認証に対応しています。意外とこの3つに対応しているIDaaSは少なくて、すべてのクラウドサービスでSSOが利用できなければ、ユーザーのパスワード管理負荷は軽減されません」

池澤　「対応していないサービスはパスワードを入力することになると」

中山ゆか　「そうなんです。そこで、私たちは主に社内システムで利用されがちな認証方法に対しても対応することで、すべてまかなえるところが大きな強みとなっています。セキュリティ面に関しては、弊社は認証局を務めておりますので、情報を守るノウハウをしっかり蓄積しており、安心して利用いただけます」

池澤　「社内システムにも目を向けているところがすばらしいですね」

中山ゆか　「もう1つ、管理者の負荷を軽減するID管理の面では、GoogleやMicrosoft 365などと連携して、ユーザーアカウントを自動で作成できます。また、ほかのさまざまなサービスと連携できるようにSaaS管理を中心に行える製品との連携オプション『SaaSアカウント自動発行/削除 by Bundle』を用意しています。これを利用することで、サービスの付加価値をさらに高められます」

池澤　「それは、SSOのサービスで提供されているものですか？」

中山ゆか　「『SaaSアカウント自動発行/削除 by Bundle』はプロプランのオプション機能として提供しています。IDaaSとしては後発であることと、グループとして良いサービスを安価で提供することがインターネットの発展に繋がっていくという方針もあるため、1ユーザー300円というシンプルなプランとし、より細かなご要望を叶える部分をオプションで提供しています」

池澤　「非常に安いですね」

中山ゆか　「IDaaSは、まだ皆さんにとっつきにくいサービスだと感じていて、例えば電子契約の場合は、仕組みはよくわからないけれど、これまで紙だったものが電子になるのかなと感覚的に理解できると思うのですが、IDaaSと言われてもなかなか意味がわからないと思います。そこで無料プランでSSOの世界を体験することができるようにしています。また必要な機能だけをシンプルに提供することにより、全社導入しやすい価格の1ユーザー300円 で販売しています」

池澤　「一度体験してみて決められるということですね。SSOで3つの認証に対応しているとのことですが、SAML認証はイメージできますが、その他の手法はどんな感じになるのでしょう」

中山ゆか　「まずユーザーか管理者がパスワードを登録します。実際にフォームを開いてログインする際は、自動的にフォームへ入力されるわけですが、その際にドメインとフォームのURLが登録されたものか確認しています。SAML認証と違い双方の信頼設定がない状態でも、フィッシングなどでIDとパスワードを盗まれるという心配もなく利用できるというのが、トラスト・ログインの特徴です。また、ブラウザーの拡張機能があり、簡単に行きたいサービスへ飛べるようにもなっています」

池澤　「便利ですね。これは、一括管理されるものなのか、それともユーザーごとに設定するものなのでしょうか」

中山ゆか　「両方の余地を残していまして、管理者がセキュリティポリシーを設定して、企業で利用できるアプリを登録します。登録したアプリは、メンバーごとやグループごとに設定できるので、それぞれのユーザーはマイページを覗くと利用できるアプリが一覧表示されます。あとは、パスワードをユーザーが登録してもいいのですが、パスワードの使いまわしを防ぐために、アプリごとに強固なパスワードを管理者から一括代理設定もできます」

池澤　「企業だと、管理者が一括代理設定したほうが安心ですね」

中山ゆか　「管理者が一括代理設定したアプリには、アイコンに鍵マークが付き、ユーザーが設定を変えたりアイコンの削除ができません。サービス側へのパスワード登録は、SAML認証以外だと別途設定する必要がありますが、採用するパスワード文字列を複雑で強固なものを設定すれば、パスワードの脆弱性を高めつつ、ユーザーに覚えさせる必要がないため、運用性とセキュリティレベルを両立できます」

池澤　「これってパスワード管理ツールとしても使えるのでしょうか」

中山ゆか　「そうですね。ブラウザーのパスワード保存機能はグループポリシーで利用できないようにして、トラスト・ログインだけにすることで、同様の機能をより安全に運用できます」

池澤　「そうすると、このSSO機能だけでパスワード入力に関してはすべてまかなえるということですね。なんだかんだブラウザーを使っていると、パスワード管理ツールを使うじゃないですか。SSO機能のほかに別途ツールを入れなくて済むのは非常に便利だと思います」

中山ゆか　「管理者としてもそのほうが安心ですし、管理者にとってもユーザーにとっても便利だと思います」

中山ゆか　「トラスト・ログインにはSSO以外にもサービスがあります。『ID管理』では、会社内にActive Directoryや従業員のマスターがあると思いますが、それをトラスト・ログインに取り込んで、各サービスにその情報でアカウントを作ったり、情報更新したりすることもできます」

池澤　「誰かが退職したらそのアカウントを削除したりとか」

中山ゆか　「そうですね、即停止できます。この日に辞めるから確実に止める必要があるとき、管理者は退職者が何のアカウントをもっていたのかの確認から、あれこれアカウント停止作業をすることになり、負担だと思います。退職者のActive Directoryのアカウントをオフにするだけで、トラスト・ログインのアカウントが自動的に停止されるので、SSO利用しているシステムへのSAML認証も、パスワードを見ることもできなくなり非常に楽だと思います」

池澤　「『認証強化』っていうのは？」

中山ゆか　「IPアドレスやクライアント認証、ワンタイムパスワード、プッシュ通知認証など、トラスト・ログインのログインパスワードに加えて多要素を組み合わせてログインする機能の提供になります」

池澤　「この絵に描かれているスマートウォッチやスマホは、多要素認証で使えるということですか？」

中山ゆか　「トラスト・ログインにログインする際、そのパスワードは覚える必要があります。ただ、それも負担になるので、認証時にアプリで受信する通知をスマートウォッチやスマホで“承認”をタッチするとログインができる仕組みになっています」

池澤　「よくSMS認証で、送られた番号を入力するというのもありますが、それも面倒ですよね」

中山ゆか　「そうですね、しかもSMS認証は近年、第三者からの傍受のリスクがあることから脆弱性が疑われる手法なので、トラスト・ログインでは採用していません。クラウド活用が広がっている現在では、セキュリティも担保しつつ、利便性も両立できることが求められていますので、トラスト・ログインもそのニーズに応えられる形を常に重視しています」

池澤　「SSOでいちばん気になるのは、サービスのログインパスワードを突破されると、すべてアクセスされてしまうのではという不安があると思います。その辺の不安を払拭するような対策はあったりしますか？」

中山ゆか　「前段の認証強化に関連しますが、具体的な対策の１つとして、社内にいるときはIPアドレスとパスワードで制限し、社外の場合はスマホからワンタイムパスワードなどのステップアップ認証をすることで、認証強化させることが重要です」

池澤　「多要素認証でも、それほど面倒にはならないので、セキュリティを考えると必ず取り入れたほうがいいですね」

中山ゆか　「最近はテレワークで在宅勤務が増えていますが、私物のパソコンでもアクセスできてしまうような環境でクラウドサービスを皆さん使っていて、管理者としては悩ましい事態だと思います。私物端末ではしっかりOSをアップデートして、ウイルスソフトを入れているかといったセキュリティ対策状況が見えないですからね。このようなケースは、指定された会社の端末だけに証明書をインストールし、そこからアクセスできるようにすることを提案しています。こうすることで第三者からの不正アクセスはもちろん、脆弱な私物デバイスからのログインを防ぐことが可能です。

トラスト・ログインでは、このような使い方ができるデバイス証明書を1ユーザー10枚発行しても150円という破格で実現できる強みもあるので、ぜひ活用してもらいたいと思っています」

池澤　「ここで認証局という強みが発揮されていますね」

中山ゆか　「おかげさまでITreview Grid Award 2022 Fallにおいて、SSO部門とIT管理部門で最高位のLeaderを10期連続（四半期に1度開催）でいただきました。サポート品質や導入のしやすさ、満足度で1位を獲得（ITreview SSOカテゴリーレポート 2022 Spring）したり、BOXIL SaaS Awardでも、部門1位になるなどユーザーから高い評価をいただいております」

池澤　「ユーザーから高い評価を受けている点というのは何だと考えていますか？」

中山ゆか　「強みの1つはUIがわかりやすいところですね。日本のお客さまをターゲットにして要望に応えて機能を絞りシンプルにしているので、IDaaSを初めて使われる方でも、管理者へまったく質問がなかった、と喜ばれています」

池澤　「それはすごいですね」

中山ゆか　「その話を聞いたとき、すごく嬉しかったですね。直感的に操作できるかと思います。また、デスクトップSSOという機能があり、Active Directoryにログインすると、トラスト・ログインの認証も通る機能があり、出社してパソコンを起動してWindows Helloでログインしたら、すぐに作業できる状態になるというのも特徴の1つです」

池澤　「そうなると、SSOすらも意識しないで作業できますね。今後の展開としてどのようなことを考えているのでしょう」

中山ゆか　「まず、ログイン方法を追加して、よりお客さまの利便性を高めていきます。具体的には、生体認証を実現する規格のFIDO認証に順次対応していく予定です。現在、中小企業を中心に8000社以上に導入していただいていますが、従業員数千名規模の大企業の導入実績も増えてきたので、そういった企業の需要に応える機能をどんどん増やしていきたいと考えています。

中長期的にはIDaaSを入り口にして、さらにライセンスまわりの管理やツールによって収集したデータを活用できる仕組みを考えています。企業で働くユーザーの業務効率を圧倒的に上げられるようなIDaaSの枠を超えていくような機能を提供していきたいですね」

池澤　「今回お話を伺って、SSOでパスワードをひとまとめに管理できるというのはかなり便利だと思いました。ユーザーからすると何の認証に対応しているかなんて関係ないじゃないですか。こういったサービスが出てくると、本当にユーザーとしても楽ですし、認証強化やアクセス制限などもしっかりされているので、管理者としても安心なのかなと思いました。しかも安いっていう、とても魅力的な製品でした」